0
0
Quando a Rússia invadiu a Ucrânia em 24 de fevereiro de 2022, houve muita discussão sobre como a guerra seria cibernética e cinética. Um ano depois, o consenso parece ser que, embora houvesse muita atividade de ataque cibernético, não era tão destrutivo quanto muitos temiam. Isso se deveu em parte a vários governos e empresas de segurança ajudando a identificar e bloquear ataques.
Entre fevereiro de 2022 e fevereiro de 2023, uma média de 10% de todo o tráfego online para a Ucrânia foi mitigações de possíveis ataques, disse a Cloudflare em sua análise do impacto da invasão russa na Internet ucraniana . A Cloudflare protegeu os aplicativos da Web ucranianos filtrando e monitorando o tráfego HTTP para bloquear ataques mal-intencionados, incluindo ataques distribuídos de negação de serviço (DDoS).
Em 29 de outubro, o tráfego de ataques DDoS constituía 39% do tráfego total para os clientes ucranianos da Cloudflare.
A empresa compartilhou um gráfico mostrando a porcentagem diária de tráfego da camada de aplicativos para a Ucrânia que a Cloudflare mitigou como ataques potenciais usando seu firewall de aplicativos da Web (WAF). No início de março, 30% de todo o tráfego foi mitigado. Depois de um verão bastante tranquilo, a atividade de ataque voltou a aumentar no início de setembro, durante a contra-ofensiva ucraniana no leste e no sul da Ucrânia.
Mais especificamente, 14% do tráfego total da Ucrânia foi mitigado como ataques em potencial, enquanto 10% do tráfego total para a Ucrânia foi mitigado como ataques em potencial nos últimos 12 meses.
As ameaças atenuadas na camada de aplicativos bloqueadas pelo WAF da Cloudflare foram 105% maiores na segunda-feira, 28 de fevereiro de 2022 – quatro dias após a invasão – em comparação com a segunda-feira anterior, 21 de fevereiro de 2022. Em 8 de março, esse número era de 1.300%.
O que saiu de ‘Shields Up’
Antecipando-se aos ataques cibernéticos russos contra alvos ucranianos e contra organizações em países aliados da Ucrânia, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) pediu às organizações que compartilhem informações que possam ajudar a mitigar as ameaças. “Toda organização – grande e pequena – deve estar preparada para responder a incidentes cibernéticos perturbadores”, disse a CISA.
Embora o compartilhamento de informações sobre ameaças tenha ajudado indubitavelmente, a natureza dos ataques também foi menos sofisticada ou destrutiva do que se temia.
Os pesquisadores do Cisco Talos têm monitorado clientes de infraestrutura crítica para identificar ameaças e remediar ataques. Embora houvesse muitas preocupações sobre malware destrutivo, o que a Talos está vendo – e bloqueando – é a coleta de credenciais, diz Nick Biasini, chefe de divulgação da Cisco Talos. Os invasores não estão recorrendo a táticas altamente sofisticadas, mas empregando métodos mundanos e reconhecíveis para tentar obter acesso a redes e contas, diz ele.
Impacto na infraestrutura crítica
A análise da Cloudflare do tráfego da Internet na Ucrânia mostra picos e quedas no uso correspondentes à atividade militar. Por exemplo, a cidade de Chernihiv teve uma queda significativa no tráfego na primeira semana da guerra e tráfego residual em meados de março, com o tráfego aumentando após a retirada russa no início de abril, observou Cloudflare. No outono, as unidades militares russas começaram a atacar a infraestrutura crítica ucraniana, causando quedas de energia generalizadas e blecautes na Internet. Alguns desses ataques causaram uma redução de até 50% no tráfego da Internet, de acordo com a análise da Cloudflare. As interrupções geralmente duravam apenas um ou dois dias, “enfatizando ainda mais o impacto contínuo do conflito na infraestrutura da Ucrânia”, observou Cloudflare.
“Durante o resto do ano e até 2023, a Ucrânia continuou a enfrentar interrupções intermitentes na Internet”, escreveu a Cloudflare.
Efeitos cascata ao redor do mundo
Os líderes de segurança no Leste Asiático estão observando atentamente como a guerra entre a Rússia e a Ucrânia se desenrola, já que muitas das tensões geopolíticas e retóricas são semelhantes à situação de longa data entre China e Taiwan. As organizações estão “se perguntando que tipo de ataques perturbadores esperar” e como a guerra na Ucrânia pode afetar a situação de Taiwan, diz Mihoko Matsubara, estrategista-chefe de segurança cibernética da NTT. Já houve alguma atividade, embora tenha sido do tipo “incômodo cibernético”, em vez de destruição, diz Matsubara. As empresas do Leste Asiático já estão vendo ataques DDoS, desfigurações e campanhas de desinformação, diz ela.
Matsubara teve o cuidado de não subestimar a gravidade dos ataques, pois eles ainda prejudicam as organizações. A NTT também viu alguns ataques de limpeza usados para interromper os esforços de ajuda humanitária, o que pode ser um prenúncio de atividades futuras.
Atores ruins se tornam políticos
Os cibercriminosos têm expressado suas próprias opiniões – e lealdades políticas – sobre a guerra. Por exemplo, o último relatório “Cyber Threat Index” da Coalitioninvestigou ataques contra bancos de dados expostos à Internet. A Coalition observou um total de 264.408 endereços IP executando instâncias do MongoDB em 2022, e 68.423 deles – ou 26% – foram comprometidos. A Coalition encontrou um punhado de servidores MongoDB comprometidos onde os invasores renomearam os bancos de dados para SLAVA_UKRAINI, ou “Glória à Ucrânia!”
“A atividade dos agentes de ameaças geralmente é moldada por flutuações nas condições econômicas”, observou a equipe da prática de risco cibernético da Kroll no último relatório “Cenário de ameaças” . “Devido à contínua volatilidade do mercado em todo o mundo e à guerra em andamento na Ucrânia, é provável que as circunstâncias instáveis nas quais os invasores prosperam persistam em 2023”.
FONTE: DARK READING